个人中心
文章发布
退出
作者热门文章
- xml - AJAX/Jquery XML 解析
- 具有多重继承的 XML 模式
- .net - 枚举序列化 Json 与 XML
- XML 简单类型、简单内容、复杂类型、复杂内容
26
4
我正在编写动态查询并使用 go-gorm 的 db.Raw() 函数执行它。我想防止对我构建的查询进行 SQL 注入(inject)攻击。
我正在编写此查询以获取所有具有服务器端分页、搜索和筛选功能的用户。我的查询运行得非常完美,但它存在 SQL 注入(inject)攻击的威胁。
// GetUserGridDataWithPagination - gets data to show in users grid to admin with pagination
func (controller Admin) GetUserGridDataWithPagination(
filterBy string,
searchBy string,
sortBy string,
sortOrder string,
pageSize uint16,
pageNumber uint16,
) ([]model.AdminUserGridData, int64, uint16, error) {
var list []model.AdminUserGridData
query := `SELECT * FROM users_master`
query1 := `SELECT count(*) FROM users_master`
clause := ` WHERE `
filterCondition := ""
searchCondition := ""
sortCondition := ""
if filterBy != "all" {
filterCondition = ` WHERE role = '` + filterBy + `'`
clause = ` AND `
}
if searchBy != "" {
search := "'%" + searchBy + "%'"
searchCondition = clause +
`name ilike ` + search + ` OR
email ilike ` + search + ` OR
phone ilike ` + search + ` OR
profession ilike ` + search + ` OR
role ilike ` + search + ` OR
kyc_status ilike ` + search
}
if sortBy != "" {
column := ""
if sortBy == "kycStatus" {
column = "kyc_status"
} else {
column = sortBy
}
if sortOrder != "" {
sortCondition = ` ORDER BY ` + column + ` ` + sortOrder
}
}
if filterCondition != "" {
query = query + filterCondition
query1 = query1 + filterCondition
}
if searchCondition != "" {
query = query + searchCondition
query1 = query1 + searchCondition
}
if sortCondition != "" {
query = query + sortCondition
}
query = query + ` LIMIT ? OFFSET ?`
// fetch records from database
if err := controller.database.Raw(query, pageSize, (pageSize * (pageNumber - 1))).Scan(&list).Error; err != nil {
log.Error(err)
return nil, 0, 0, errors.New("Error while processing your request")
}
// fetch total no of records from database
type RowCount struct {
Count int64 `json:"count"`
}
var rowCount RowCount
if err := controller.database.Raw(query1).Scan(&rowCount).Error; err != nil {
log.Error(err)
return nil, 0, 0, errors.New("Error while processing
your request")
}
return list, rowCount.Count, pageNumber, nil
}
我在我的项目中已经做过很多次了。因此,我正在寻找一种方法来更正此问题而不更改查询但使用任何第三方库来更正此问题。 (就像我们在 nodejs 中使用 sql-escape-string包在 npm 上可用)
最佳答案
您应该使用 gorm 查询生成器并在 args 中传递参数:哪里(查询接口(interface){},args ...接口(interface){})*DB。就足够了。由于像上面这样的 gorm 方法正在改变您正在构建的 SQL 查询的内部状态,因此可以编写如下代码:
var usersMasterList []UsersMaster // gorm Model
if filterBy != "all" {
controller.database.Where("role = ?", filterBy)
}
if searchBy != "" {
controller.database.Or("name ilike ?", search)
controller.database.Or("email ilike ?", search)
//...
}
//...
controller.database.Find(&usersMasterList)
代码未经测试。您可以在此处阅读更多信息:http://gorm.io/docs/query.html
或者您可以使用正则表达式从这些字符串中过滤非字母数字字符:
rx := regexp.MustCompile("[^a-zA-Z0-9]+")
yourString = rx.ReplaceAllString(yourString, "")
强烈建议尽快重写您的代码,代码将更加安全和可读。
关于go - 与 go-gorm 框架一起使用的动态查询,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54230287/
26
4
0
我有三张 table 。表 A 有选项名称(即颜色、尺寸)。表 B 有选项值名称(即蓝色、红色、黑色等)。表C通过将选项名称id和选项名称值id放在一起来建立关系。 我的查询需要显示值和选项的名称,而
在mysql中,如何计算一行中的非空单元格?我只想计算某些列之间的单元格,比如第 3-10 列之间的单元格。不是所有的列...同样,仅在该行中。 最佳答案 如果你想这样做,只能在 sql 中使用名称而
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 7 年前。 Improve this ques
我正在为版本7.6进行Elasticsearch查询 我的查询是这样的: { "query": { "bool": { "should": [ {
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 7 年前。 Improve this ques
是否可以编写一个查询来检查任一子查询(而不是一个子查询)是否正确? SELECT * FROM employees e WHERE NOT EXISTS (
我找到了很多关于我的问题的答案,但问题没有解决 我有表格,有数据,例如: Data 1 Data 2 Data 3
以下查询返回错误: 查询: SELECT Id, FirstName, LastName, OwnerId, PersonEmail FROM Account WHERE lower(PersonEm
以下查询返回错误: 查询: SELECT Id, FirstName, LastName, OwnerId, PersonEmail FROM Account WHERE lower(PersonEm
我从 EditText 中获取了 String 值。以及提交查询的按钮。 String sql=editQuery.getText().toString();// SELECT * FROM empl
我有一个或多或少有效的查询(关于结果),但处理大约需要 45 秒。这对于在 GUI 中呈现数据来说肯定太长了。 所以我的需求是找到一个更快/更高效的查询(几毫秒左右会很好)我的数据表大约有 3000
这是我第一次使用 Stack Overflow,所以我希望我以正确的方式提出这个问题。 我有 2 个 SQL 查询,我正在尝试比较和识别缺失值,尽管我无法将 NULL 字段添加到第二个查询中以识别缺失
什么是动态 SQL 查询?何时需要使用动态 SQL 查询?我使用的是 SQL Server 2005。 最佳答案 这里有几篇文章: Introduction to Dynamic SQL Dynami
include "mysql.php"; $query= "SELECT ID,name,displayname,established,summary,searchlink,im
我有一个查询要“转换”为 mysql。这是查询: select top 5 * from (select id, firstName, lastName, sum(fileSize) as To
通过我的研究,我发现至少从 EF 4.1 开始,EF 查询上的 .ToString() 方法将返回要运行的 SQL。事实上,这对我来说非常有用,使用 Entity Framework 5 和 6。 但
我在构造查询来执行以下操作时遇到问题: 按activity_type_id过滤联系人,仅显示最近事件具有所需activity_type_id或为NULL(无事件)的联系人 表格结构如下: 一个联系人可
如何让我输入数据库的信息在输入数据 5 分钟后自行更新? 假设我有一张 table : +--+--+-----+ |id|ip|count| +--+--+-----+ |
我正在尝试搜索正好是 4 位数字的 ID,我知道我需要使用 LENGTH() 字符串函数,但找不到如何使用它的示例。我正在尝试以下(和其他变体)但它们不起作用。 SELECT max(car_id)
我有一个在 mysql 上运行良好的 sql 查询(查询 + 连接): select sum(pa.price) from user u , purchase pu , pack pa where (
我是一名优秀的程序员,十分优秀!